これまでの議論は、SQLインジェクションと永続的なクロスサイトスクリプティングからの保護についてでした。正しい方向に進んでいるようです。
- プリペアドステートメントの使用は、SQLインジェクションに対抗するための「ベストプラクティス」です。
- htmlspecialchars()は、XSSを防ぐための良いスタートですが、データを出力する場所に適したエンコード方式でデータをエスケープする必要があります。 OWASPには、これについて説明する包括的なページがあります。 XSS(クロスサイトスクリプティング)防止チートシート
。簡単な答え:「
the escape syntax for the part of the HTML document you're putting untrusted data into."